Els nyaps de la web de la T-Mobilitat, fruit d'un "descuit", segons l'ATM

TV3 ha pogut parlar amb l'enginyer informàtic que va descobrir "per casualitat" els nyaps de la T-Mobilitat quan intentava donar d'alta la seva dona. Edin Kapić ha explicat la sorpresa que es va trobar: "Vaig provar amb un usuari que era 'test' i amb la contrasenya 'test'. I a la primera! Entro i tenia atribucions d'administrador. És a dir que podria haver esborrat tot el contingut que hi havia, podria haver canviat totalment la navegació", remarca.

I no només això, sinó que podia accedir a dades d'usuaris:

"Hi havia un apartat que posava 'Usuari'. Eren usuaris reals, amb noms i cognoms, perquè en vaig buscar per Linkedin un parell a l'atzar. No vaig entrar a mirar més dades. Allò ja em semblava esgarrifós. I m'imagino que tot és degut a les presses."

L'Autoritat del Transport Metropolità assegura que ha estat un error humà. Ho afirma Ramon Bacardí, director de la T-Mobilitat:

"Ha estat un descuit, en el sentit que es van deixar unes portes obertes d'administrador i no es van tancar. Això és un producte que t'acaben entregant i en aquest producte que t'entreguen els passa per alt una cosa."

Un producte que es va encarregar a Soc Mobilitat, darrere de la qual, com consta a la seva web socmobilitat.cat, hi ha Indra, CaixaBank, Moventia i Fujitsu, que aquest dijous no han volgut donar explicacions sobre aquest nou entrebanc en la llarga llista de retards i sobrecostos que acompanya el projecte.

Segons l'ATM, durant el temps que va haver-hi aquest forat de seguretat només una persona va accedir a "dades no sensibles". L'escletxa, diuen, es va corregir "de seguida".

L'Autoritat ha anunciat un expedient informatiu a l'empresa responsable de la web i ha suspès temporalment l'accés a la pàgina.

L'accés al web https://t.co/M1LI4OKDxb en aquesta fase de proves ha quedat suspès temporalment. Hem decidit fer, amb l'Agència de Ciberseguretat, una anàlisi exhaustiva per descartar qualsevol altra vulnerabilitat no detectada.

Les proves continuen en marxa. Seguirem informant.

— T-mobilitat (@T_mobilitat) October 6, 2021

L'ATM ha informat que les persones que ja tenen la T-Mobilitat la poden fer servir amb normalitat per viatjar i recarregar-la amb les aplicacions i a les màquines d'autovenda de la xarxa.

Les que facin servir el mòbil Android també el poden continuar fent servir sempre que no tanquin la sessió personal a l'app. I qui hagués demanat l'alta i estigui esperant la verificació, la rebrà els pròxims dies.

3⃣ Les persones que haguessin demanat l'alta a través del web T-mobilitat i estiguessin esperant verificació, la rebran durant els pròxims dies, ja que aquest procés continua viu.

💻Un cop el web es reobri, es podrà sol·licitar la targeta #Tmobilitat, que arribarà per correu. pic.twitter.com/NGgRjpmfhT

— T-mobilitat (@T_mobilitat) October 7, 2021

           

Una web a mig acabar

Més enllà del forat de seguretat, molts usuaris ja havien detectat llacunes dins de l'aplicació. Per exemple, a l'apartat de privacitat hi constava només un text per omplir, amb el clàssic "Lorem Ipsum".

Tu, no em vengueu que lo de la T-Mobilitat està per sortir ja pic.twitter.com/AncJIQTMZL

— Arnau d'Operacions (@RadioConica) October 5, 2021

I també hi havia un error a l'hora de valorar l'aplicació, en lloc de mostrar una pàgina on poder deixar comentaris, la T-Mobilitat redirigia els usuaris a la web de Netflix.

Si vull valorar l'aplicació de la T-Mobilitat em posa a ressenyar la de NETFLIX

seguim en early access… pic.twitter.com/KPgx3Djexp

— Frank Rodriguez (@frankrodIII) October 5, 2021

La impressió de l'enginyer informàtic que va trobar l'error és que es tracta d'un "nyap". "En el món de la informàtica tenim el nyap que és la paraula per identificar aquest tipus de coses. És alguna cosa que fas per estalviar temps però que al final t'acaba costant més que haver-ho fet bé des del principi", conclou.

Una targeta que fa anys que acumula retards

Des del 4 d'octubre es va activar, en període de proves, la venda online de la T-Mobilitat a tota la ciutadania dels 36 municipis de la tarifa metropolitana integrada de l'ATM, amb condicions i preus especials durant el període de test.

És la targeta de plàstic que ha de substituir els bitllets i títols de cartró amb banda magnètica que es fan servir ara. A més, servirà per canviar la tarificació, que ja no serà per corones sinó per distància.

La targeta és recarregable i fa servir una tecnologia sense contacte, que s'ha d'acostar al lector per validar el viatge. També es pot fer servir l'aplicació descarregada al mòbil.

El projecte de la T-Mobilitat es va adjudicar per prop de 60 milions d'euros el 2014 a SocMobilitat, formada per CaixaBank, Fujitsu, Indra i Moventia, i que s'encarrega de la implantació del sistema, encara que el control i la propietat recau en l'ATM.

El cost del projecte ha augmentat, fins a superar els 80 milions d'euros, mentre s'han encadenat els retards.

L'objectiu inicial era que la T-Mobilitat s'implantés el 2015 i que les proves comencessin un any abans. El cas, però, és que els ajornaments s'han anat succeint i no va arribar tampoc el 2018, com s'havia dit.